.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

先ずは、脅威を知る。

分類

災害

地震、落雷、風害、水害

防災

対策

災害復旧(ディザスタ・リカバリ)

障害

種類

#種類具体例
1設備障害停電、瞬断、空調 / 入退館装置 / 監視カメラ 等の故障
2ハードウェア障害メモリ / ディスク / CPU / 電源ケーブル
3ソフトウェア障害OS、ミドル、アプリのバグ
4ネットワーク障害機器、配線、広域網の回線障害、通信事業者の問題

対策

基本は、保守と予備(バックアップ)の確保

#対策具体例
1設備障害設備保守、バックアップ設備の確保
2ハードウェア障害機器保守、予備機器の確保
3ソフトウェア障害バージョン最新化、パッチ適用、各種テストの実施
4ネットワーク障害機器保守、バックアップ回線の確保

だろうか。

人的

分類

大きく分けて、偶発的と意図的に分かれる。

※ 「不正のトライアングル」理論では、以下が揃ったときに発生する。

影響

様々

対策

「不正のトライアングル」(の主に、機会・正当性)を成立させないようにする。

#種類具体例
1偶発的規程、マニュアルの整備、教育・訓練の実施、罰則の適用
2意図的・外部の人的脅威
 入退館、アクセス制御、暗号化、監視、アカウント管理
・内部の人的脅威
 アクセス制御の実施、教育・訓練の実施、監査の実施
2全体的・抑止、抑制、牽制
・委託先の信頼性、NDA(秘密・機密保持契約)

情報共有

サイバー情報共有イニシアティブ

(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan )

による2つの「情報連携体制」

を確立し、サイバー攻撃に関する
情報共有の実運用を行っている。

脆弱性情報データベース

CVE、CWE、CVSS 識別子

JVN識別子

技術的

アドレス・スキャン

(pingスイープ)

ポート・スキャン

影響

後述のバッファ・オーバーフローに繋がる。

攻撃手法

対策

※ IDPSではステルス・スキャンも検知できるが、
  間を空けたランダムな攻撃の場合は検知が困難になる。

バッファ・オーバーフロー

影響

攻撃手法

スタックのリターンアドレスを書き換え、

を動作させる攻撃方法(別名、スタック・オーバーフロー)。

※ 単にバッファをオーバーフローさせても
 意味が無いので、スタックと組み合わせる。

※ 一般的には、サービスのポートなどから攻撃を投入する。

※ ヒープ・オーバーフローと組み合わせることも。

対応

パスワード・クラック

影響

ログインされる。

攻撃手法

固定式のパスワードを使用する認証システムを攻撃

対策

セッション・ハイジャック

影響

攻撃手法

対策

DNSサーバに対する攻撃

影響

攻撃手法

対策

DoS攻撃

Webスクリプト系

マルウェア

・パケット盗聴  ・プロミスキャス・モードでの盗聴  ・対策   ・スイッチングハブ、   ・プロミスキャス・モードのNIC検出

・ソーシャル・エンジニアリング  コンピュータやネットワークの管理者や利用者、  また、その関係者などから、話術や盗み聞き、盗み見  などの「社会的」な手段によって、パスワードなどの  保安上重要な情報を入手すること。

・ウォードライビング(無線LANへの不正接続)    ・フィッシング  偽サイトに誘導して情報を盗む。

 ・手段としては   ・DNSキャッシュ・ポイゾニング   ・標的型攻撃(メール)   ・似たURL   ・SEO(Search Engine Optimization)ポイゾニングなどがある。    検索エンジンの検索結果ページの上位に、    ウイルスなどが含まれる悪質なWebサイトがリスト。

 ・フィッシング後   ・クリック・ジャッキング攻撃(IFRAME)    ユーザーを視覚的にだまして、正常に見える    ウェブページ上のコンテンツを示し、実際は、    別のウェブページのコンテンツをクリックさせる攻撃    (SNSなどで「非公開」プライバシー情報を「公開」に変更)

 ・標的型攻撃(メールによるもの   APT(Advanced Persistent Threat)、新しいタイプの攻撃

  ・受信者の業務に関係がありそうなもの。

   ・送信者は公的機関、組織内の管理部門など。     (文末に組織名や個人名を含む署名がある)

   ・社会情勢や動向を反映した内容。     (イベント、ニュース、注意喚起、報告書)

   ・本文の内容に沿った添付ファイル、リンク     ・文書ファイルなどを装ったマルウェアを添付      zip、exe、pdf、doc(亜種のため検知しにくい)

    ・不正なリンクを用いる場合もある。

  ・対策:リテラシ向上と注意喚起、情報収集と指示    ・入り口対策:困難    ・出口対策:

    ・F/W・プロキシ      アウトバウンド、P2P、RPC

    ・ルータ・スイッチ(NW分割)      ・AD(認証サーバ)      ・サーバとインターネット通信

・ファーミング  hostsファイルの書き換え。

・DoS(Denial of Service)攻撃  システム・リソース、ネットワーク帯域の枯渇  セキュリティ・ホールを突き、  システム・アプリを異常終了させる。    ・Syn Flood攻撃   TCPの接続開始要求であるSynパケットを大量送付。   実際に接続はしない。

  対策:Syn cookies(http://ja.wikipedia.org/wiki/SYN_cookies)      Syn Floodプロテクション機能を持つOS      タイムアウトを短く      F/W、機器での帯域制限。        ・Connection Flood攻撃   システム・リソースが枯渇するまで、Connection確立を続ける。      アドレス偽装はできないが、   ターゲットに確実に影響を与える可能性が高い手法。      対策:微妙、ソケット数、TCPキューを増やす。負荷分散。      同一IPからの接続数制限、      攻撃元IPからのパケットをF/Wで遮断。     ・UDP Flood攻撃   上記をUDPパケットで行う。      対策:UDPサービスの停止、F/W、機器での帯域制限。     ・ICMP(ping) Flood攻撃   上記をICMP(ping)パケットで行う。      対策:F/W、機器での帯域制限。     ・smurf攻撃   上記をICMP echo requestのReflectionで行う。   攻撃者は発信元アドレスを最終的なターゲットのホストIPに詐称し   ICMP echo requestでブロードキャスト・アドレスを使用して行う。      対策:F/W(ICMP echo requestでブロードキャスト・アドレス)     ・DDoS(Distributed Denial of Service)は、   DoSを踏み台サイトのボット(ボットネット)から行う。   例えば、ルートDNSのダウンなど。      対策:各種リソースを増やす。      攻撃元IPからの(アドレス偽装されている)パケット、      ブロードキャストパケット、不要なICMP、UDPをF/Wで遮断。     ・DRDoS(Distributed Reflection Denial of Service)は、   TCP(SYNパケット、DNSクエリ)、UDP、ICMP(echo request)   ・攻撃者は発信元アドレスを最終的なターゲットのホストIPに詐称。    攻撃に加担させるサーバ宛にパケットを送る。      ・パケットを受け取ったサーバは、    詐称された発信元アドレスに応答を返す。      利用可能なパケットの例   ・TCP:SYN → SYN/ACK、SYN → RST、       ACK → RST、DATA → RST、NULL → RST

  ・UDP:UDP → プロトコル依存       UDP → ICMP port unreachable

  ・ICMP:echo request → echo reply、       timestamp request → timestamp reply、       address mask request → address mask reply

  ・DNS query → DNS reply   ・IP pkt → ICMP time exceeded

・クロスサイト・スクリプティング(XSS)  JSをインジェクションして、Cookie情報などを他サイトに飛ばす。  入力欄などを設けフィッシングすることもできる。

 対策:サニタイジング    ・テキスト    :&=& <=< >=>    ・属性      :&=& <=< >=> "=" '='    ・href、src    :絶対パス、相対パス    ・style、イベント :'"`:;()などのエスケープ    ・スクリプト    :\→\\、'→\'、"→\"、改行→\n    ・UTF-7を使用しない。    ・WAF

・SQLインジェクション  ・対策   ・バインド変数を使用する。   ・エスケープ(';%+)   ・アクセス権限設定   ・詳細なエラー・メッセージを返さない。   ・WAF

・OSコマンド・インジェクション  ・対策   ・OSコマンド呼び出し可能な関数を実行しない、   ・ルール、データチェック(エスケープはしない)   ・ユーザ入力を持って行かない。   ・WAF

・HTTPヘッダインジェクション  ・ヘッダの追加   Cookieの設定

 ・ボディの追加   ・偽情報、スクリプト挿入   ・レスポンス分割とキャッシュ汚染

 ・対策   ・APIの使用(エスケープ機能を持った)   ・改行コードは削除する。   ・CookieはURLエンコード   ・WAF

・不正なコマンドやリクエストの発行

・スパムメール

・マルウェア  ウワトモスボ

 データ消去、改ざん、漏洩、バックドア

 ・ウィルス   宿主に感染、潜伏、発病の機能を持つ。  

  ・対策    ・GW上     ・F/W、IDPS     ・ウィルス対策     ・プロキシサーバによるアクセス制御

   ・クライアント上     ・ウィルス対策、ウィルス検査     ・OS最新、パッチ     ・OS-F/W、Personal-F/W     ・無関係なソフトの使用禁止(フリー等)

   ・その他     マネジメント面(感染後の対策)

 ・ワーム(NW感染型ワーム)   MSBlasterなど、潜伏期間がなく、   ポートを攻撃しながら広がる。

  ・対策    ・F/W、IDPS    ・外部持ち出しに注意。

 ・トロイの木馬   正常に動作していると見せかけて、悪さをする。

  RAT:Back OrificeやSubSeven?に代表されるリモートから     コントロールが可能なトロイの木馬プログラムの総称。

  ・対策    ・ウィルス対策    ・F/W、IDPS    ・プロキシサーバ(コンテンツフィルタリング

 ・悪意のあるモバイルコード   JavaApplet?、ActiveX、JavaScript

  ・対策    ・プロキシサーバ(コンテンツフィルタリング

 ・スパイウェア   主には個人情報の漏洩(キーロガー)

  ・対策    ・ウィルス対策    ・F/W、IPS    ・プロキシサーバ(コンテンツフィルタリング

 ・ボット   遠隔操作可能(IRC、IM、P2P)   ・スパム   ・DoS、DDoS(ボットネット)   ・脆弱性の調査、スパイ活動   ・情報の削除、改竄、漏洩

  ・対策、ウィルス+IRC、IM、P2P

 ・検出方法   以下の   ・亜種が次々作られるタイプ   ・ポリモーフィック型ウィルス   ・未知のウィルス   に対しては、ヒューリスティック・ビヘイビア法が有効

  ・コンペア法    原本との比較

  ・パターン・マッチング法    ウイルスの特徴的なパターンを登録した定義ファイル    とマッチングするかどうかでウイルス検出する方法。

  ・チェックサム/インテグリティチェック法    ウイルスに感染していないことを保証する情報を付加    「チェックサム」「ディジタル署名」

  ・ヒューリスティック法    ・スタティック・ヒューリスティック法     ウイルスのとるであろう動作を事前に登録しておき、     検査対象コードに含まれる一連の動作と比較して検出する手法。    ・ダイナミック・ヒューリスティック法     ビヘイビア法

  ・ビヘイビア法    ウイルス感染・発病によって生じる異常な    動作や通信の変化を監視してウイルス検出する方法。

・ガンブラー  FTPのアカウントを盗んで、Webサイトを改ざんする。

 ・攻撃サイトのリダイレクト   (ドライブバイダウンロード)   でマルウェアをDLして実行   #ここをガードできれば対策できる。

 ・FTPのアカウント情報を盗んで送信してしまう。   #IDPSで検知

 ・このアカウントを使用してWebサイトを改竄   (レンタルサーバなどはFTPが多いので)   そして、そのサイトも攻撃サイトに改竄。   #サイトのチェックなどで検知

その他

人的

トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS